10:16
10/4/2017

Od wczoraj na naszą redakcyjną skrzynkę spłynęły dziesiątki e-maili od zaniepokojonych klientów popularnej w Polsce firmy pożyczkowej Wonga.com. Ich niepokój bierze się stąd, że Wonga poinformowała ich o “prawdopodobnym nieautoryzowanym dostępie” do danych klientów.

Zacznijmy od e-maila, jaki do polskich klientów skierował prezes firmy, Marcin Borowiecki:

Szanowny Panie,
informujemy, że prawdopodobnie doszło do nieautoryzowanego dostępu do Pana danych znajdujących się na serwerach Wonga. Natychmiast wzmocniliśmy zabezpieczenia naszych systemów, tak, aby uniemożliwić nieautoryzowany dostęp do nich.
Z naszych dotychczasowych analiz wynika, że nieautoryzowany dostęp mógł dotyczyć Pana danych osobowych. Może to dotyczyć takich informacji jak: imię, nazwisko, adres, numer telefonu, PESEL i numeru dowodu osobistego. Wszystkie hasła, w tym hasła podawane przy weryfikacji tożsamości objęte są osobnym systemem zabezpieczeń i nie było do nich nieautoryzowanego dostępu. Natomiast może Pan rozważyć reset hasła na stronie wonga.pl.
Zgłosiliśmy podejrzenie o popełnieniu przestępstwa do organów ścigania. Będziemy na bieżąco z nimi współpracować w celu wyjaśnienia okoliczności. Jednocześnie zalecamy ostrożność i niepodawanie lub potwierdzanie nieznanym osobom, szczególnie przez telefon, danych osobowych.
Jest nam bardzo przykro, jeśli ta sytuacja narazi Pana na jakiekolwiek niedogodności. Jeżeli pojawią się nowe, istotne dla Pan fakty, będziemy na bieżąco o nich informować. Jeśli ma Pan dodatkowe pytanie, prosimy o kontakt z naszymi pracownikami pod numerem: 22 388 88 88*.

Z poważaniem,
Marcin Borowiecki
Prezes Zarządu Wonga.pl sp. z o.o.
www.wonga.com

Jeden z naszych czytelników kontaktował się w tej sprawie z infolinią i oto, jakie uzyskał informacje:

(…) konsultant nie potrafił mi odpowiedzieć kiedy doszło do wycieku danych. Potwierdził, że wczoraj ten fakt został przez nich potwierdzony i niezwłocznie zawiadomili organy ścigania (policję, nie prokuraturę). Konsultant potwierdził, że sugerują, abym we własnym zakresie zmienił numer dowodu osobistego (na moje pytanie, czy naprawdę to mam zrobić na swój koszt odpowiedział, że tak). Potwierdził również, że maja oddzielone bazy danych dotyczących klientów (imie, nazwisko, adres, pesel, nr dowodu, telefon) od danych dostępowych do serwisu (email i hasło).

O potwierdzonym (nie a nie “prawdopodobnym”) włamaniu na serwery informuje też BBC, już teraz nazywając je jednym z największych wycieków w branży finansowej i pisząc, że negatywne skutki tego włamania (pozyskanie danych osobowych klientów) odczuć może aż 245 000 klientów w Wielkiej Brytanii oraz 25 000 klientów w Polsce.

O ile w przypadku Polaków z Polski, atakujący mogli pozyskać:

    imię, nazwisko,
    adres,
    numer telefonu,
    PESEL
    numeru dowodu osobistego

To w przypadku Wielkiej Brytanii (a w tej grupie pewnie też znajdzie się kilku naszych rodaków), atakujący mieli jeszcze dostęp do 4 ostatnich cyfr karty płatniczej — a to może być bardzo niebezpieczne. Kilka lat temu informowaliśmy jak za pomocą wiedzy dot. 4 ostatnich cyfr karty płatniczej można przejąć całkowitą kontrolę nad czyimś kontem Amazon i Apple.

W sprawie tego incydentu zwróciliśmy się z pytaniami do Wongi i otrzymaliśmy informacje, że firma nie ujawnia szczegółów dotyczących nieautoryzowanego dostępu do serwerów, ale jest w trakcie przebudowy infrastruktury informatycznej. Wonga miała też już wyeliminować możliwość przeprowadzenia tego typu ataków w przyszłości. Firma w rozmowie z nami potwierdziła także, że atakujący nie miał dostępu do haseł klientów i że “wyselekcjonowanym osobom rekomendujemy zastrzeżenie dowodu”. Otrzymaliśmy też dodatkowe oświadczenie:

W ubiegłym tygodniu doszło do nieautoryzowanego ograniczonego dostępu na serwery Wonga w Wielkiej Brytanii. Nielegalne wejście zostało niezwłocznie wykryte i zablokowane przez systemy zabezpieczenia. Dodatkowo systemy zabezpieczenia zostały ponownie przetestowane w celu potwierdzenia ich pełnej funkcjonalności.
Z naszych dotychczasowych analiz wynika, że nieautoryzowany dostęp mógł potencjalnie dotyczyć danych około 22 tysięcy naszych klientów. Nie objął natomiast dostępu haseł – te dane objęte są osobnym systemem zabezpieczeń.
Zgłosiliśmy do prokuratury informację o popełnieniu przestępstwa. Będziemy na bieżąco współpracować z organami ścigania w celu wyjaśnienia jego okoliczności i wykrycia sprawców.
Poinformowaliśmy naszych klientów o tej sytuacji i będziemy przekazywać zainteresowanym osobom kolejne istotne dla nich informacje. Nasze call center na bieżąco odpowiada na pytania klientów.

Wonga podkreśla także, że pomimo wykrycia przełamania zabezpieczeń, firma “nie potwierdza, że doszło do wytransferowania danych”.

Jestem klientem Wonga — co robić, jak żyć?

Zawsze zalecamy, aby w kontaktach z serwisami potrzebującymi skany dokumentów, wysyłać takie skany z naniesionym na nie napisem w stylu:

Skan wykonany w dn. XX/XX/XXXX dla firmy XXX, w celu XXX

Dzięki temu, nawet jeśli ktoś pozyska skan Waszego dokumentu, ciężej będzie mu go wykorzystać do wyłudzeń w Waszym imieniu.

Przypominamy też, że dowód można zastrzec i wymienić. Aby to uczynić należy udać się do dowolnego banku i zastrzec dokument w systemie “Dokumenty Zastrzeżone”. To nie musi być bank, którego jesteście klientem — ale szybciej i sprawniej pójdzie wam w placówce Waszego banku. Po zastrzeżeniu warto udać się do Urzędu Gminy, aby wyrobić nowy dowód osobisty.

Kuszące może być także ustawienie “alertów kredytowych” w różnych firmach. Zwróćcie tylko uwagę, że wtedy dzielicie się swoimi danymi z kolejnymi spółkami, których prywatnie budowane rejestry w żaden sposób nie muszą być konsultowane, bo nie ma takiego prawnego obowiązku. Co więcej, te najbardziej szemrane firmy, które najczęściej udzielają oszustom pożyczek na lewe dane, prawie nigdy ich nie konsultują… Natomiast posiadanie pisma potwierdzającego zastrzeżenie dokumentu, w przypadku ew. “problemów” i “niezamawianych kredytów” da Wam możliwość oczyszczenia swojego imienia i ochrony swoich środków przed komornikami.

Na koniec przypomnijmy, że przez pewien czas z internetu można było pobrać 2 miliony umów innej firmy pożyczkowej, viasms, których to skany zawierały ten sam komplet danych. Do tej pory, żaden z tych klientów chyba nie odczuł negatywnie skutków tego wycieku. A przynajmniej nam nic o tym nie wiadomo. Miejmy nadzieję, że tak samo łagodnie przestępcy obejdą się z klientami Wongi.

Jeśli jesteś klientem Wonga i z Twoimi finansami dzieje się coś nie tak — daj nam znać!

Przeczytaj także:


46 komentarzy

Dodaj komentarz
  1. Tylko szkoda, że przez www nie można w Wonga zmienić hasła. Mail, numer telefon, numer konta no problem. Ale hasła nie.

    • wystarczy, że wpiszesz w wujku gogle: jak zmienić hasło w wonga.. i już masz odpowiedź

    • Mozna zmienic wybierajac (zapomnialem hasla).no ale fakt to minus wongi ze nie mozna na stronie tego zrobic.

    • Można, trzeba użyć funkcji zapomniałem hasła

  2. Hmm, a może by tak jakiś pozew zbiorowy? Bo przecież nie chodzi tutaj o jakieś gówno dane typu hasło do forum a bardzo wrażliwe dane bo numeru pesel przecież sobie nie zmienię..

    • Po co pozew?
      Pal diabli firmę.

      Uważam, że coś nie tak jest z prawem, skoro ktoś może wziąć na Twoje dane pożyczkę, a Tobie zafundować wysłanego przez sąd komornika.

      Przecież bank mając Twój PESEL i skan dowodu osobistego tak naprawdę nie ma dowodu, że dał Tobie pieniądze. Ale sądów, jak widać, nic to nie obchodzi.
      Chora sytuacja.

    • Hej jeżeli ktoś zbiera chętnych na pozew zbiorowy to się piszę.

    • Witam.

      Ja też chętny na pozew zbiorowy jak coś.

  3. IT to bardzo fajna i tolerancyjna branża. Możesz lecieć po kosztach, robić prowizorki, nie dbać o nic a i tak możesz mieć tysiące klientów i przez wiele lat trzepać kasę. Jak coś się stanie wystarczy, że powiadamiasz jakąś instytucję XYZ i napiszesz maila to klientów, że sytuacja od teraz została naprawiona i że ci przykro…

    • dobrze – szybko – tanio

      wybierz 2.
      “Instytucje finansowe” mają w zwyczaju zawsze obowiązkowo wybierać “tanio”, zresztą chyba każda kapitalistyczna firma.

    • @pronciewicz:
      Całkowicie się nie zgadzam. Jeśli coś ma być dobrze, to z pewnością nie będzie szybko, ani tanio. Jeśli jest szybko, to nie jest dobrze i tanio. A jak jest tanio, to nie jest ani szybko, ani dobrze. Najczęściej próbuje się połączyć szybko z tanio, ale z tego wychodzą hybrydy, które się sypią szybciej niż zostają wdrożone.

      Swoją drogą, ciekawym czy Wonga beknie w jakiś sposób w Wielkiej Brytanii za ten “błąd”.

  4. @Niebezpiecznik

    zaciekawiła mnie kwestia naniesienia napisu na skan – w jaki sposób najlepiej to zrobić? W formie znaku wodnego bezpośrednio na dokumencie, czy może macie jakieś inne sugestie? :)

    • ja pisze pisakiem na szybie skanera, kładę dokument i skanuję!

    • a) robisz normalny skan
      b) w programie graficznym robisz np dwie warstwy (albo 30 na różne okazje)
      c) piszesz odpowiedni tekst, eksportujesz grafikę – ew. konwertujesz potem na pdf, cokolwiek (w zależności od programu albo od razu eksport, albo będzie trzeba zrobić tzw. spłaszczenie
      d) jak potrzebujesz inny wzór – zmieniasz tekst albo dokładasz kolejną warstwę, wyłączając niepotrzebną
      e) profit

    • Wszystko fajnie, tylko testowałem swego czasu w 3 różnych bankach i żaden nie przyjął skanu dowodu z dodatkowymi napisami.

  5. to teraz na osobie, której dane wyciekły, spoczywa ciężar dowodzenia, że wcale nie zaciągnęła zobowiązania, gdy przyjdą wezwania do zapłaty… pozew zbiorowy ma rację bytu.

  6. “Przypominamy też, że dowód można zastrzec i wymienić.”

    Dlaczego ludzie muszą udowadniać, że nie są wielbłądami?
    Ktoś ma ważny, oryginalny dowód, a mimo to musi go zastrzegać?
    Zastrzegać, tłumaczyć się, udowadniać w razie kłopotów lub spłacać cudzy kredyt?

    Jeśli jakaś szemrana firma lub kiepski bank udziela kredytu i nie sprawdza należycie, komu go udziela, to chyba ta firma lub ten bank powinni udowodnić, że mają racją. A jak czytam, to zwykli ludzie mają kłopoty z komornikami.
    I to dzięki sądom.

    Przecież skan dowodu to nie jest własnoręcznie złożony podpis.
    To żaden dowód, że się wzięło kredyt.
    Coś tu jest nie tak.

  7. “Do tej pory, żaden z tych klientów chyba nie odczuł negatywnie skutków tego wycieku”
    Bo ludzie Ci nie mają zdolności kredytowej …..

  8. A ja mam pytanie zupełnie z innej beczki. Czy koniecznie trzeba w tej sytuacji wymienić dowód osobisty?
    Jeśli tak, to jest to duży problem jeśli komuś jest potrzebny. Jak wiadomo ustawowo czeka się az 30 dni za wydaniem nowego !

  9. W jaki sposób dodanie adnotacji “Skan wykonany w … w celu …” miałoby utrudnić wyłudzenie? Wydawało mi się, że oszusta nie interesuje jakość skanu, a widoczne na nim dane, na podstawie których może bez problemu spreparować nowy dowód.

  10. Myślę, że jeśli te dane gdzieś wyciekną, to o ile ewentualne próby kradzieży tożsamości, wyłudzeń i łamania haseł są dyskusyjne, o tyle z pewnością znajdzie się niejedna firma, która sobie po cichu uzupełni swój prywatny, pokątny mechanizm do “scoringu” potencjalnych klientów o tą wyciekniętą listę.

  11. Maila nie dostałem – czy to znaczy że mogę spać spokojnie?

  12. Ostatnio wypróbowałem sztuczkę z napisem na skanie dowodu i Citibank odrzucił taki dokument.

    • To bardzo ciekawe spostrzeżenie, czy ktoś – może redakcja Niebezpiecznika – mógłby sprawdzić, czy banki nie mają jakichś obostrzeń pod tym względem, które być może są niezgodne z prawem. A może jest wprost przeciwnie i zalecenie Niebezpiecznika można łatwo obalić w konfrontacji z przepisami (np. bankowymi)?

    • To ja bym podziękował ładnie i zmienił bank. Co prawda banki mają ciut większe uprawnienia od innych firm w temacie proszenia o dane z dowodu, pesel, itp. ale nauczcie się wreszcie wszyscy, że bank prosi o OKAZANIE DANYCH, a nie żąda by im przekazać swój dokument. A że się przyzwyczaili tu i tam do trzymania kopii to już inna sprawa. Problem jest z przesyłaniem dokumentów na odległość, ale fizycznie w oddziale np. PKO w okienku proszą o pokazanie dokumentu i spisują sobie do komputera co trzeba, nikt żadnego skanu ani ksero nie robi. I słusznie, bo nie wiadomo co się potem z taką bazą kserokopii dzieje.
      Na wysyłanych dokumentach nie powinno być problemu z zamazywaniem danych do posiadania których bank nie jest upoważniony (foto, a na starszych wzrost, kolor oczu, ORAZ PODPIS, gdyż od składania jego wzoru mają swoje odrębne formularze).

    • W Citibanku konta nie miałam, ale zakładałam w kilku innych z opcją wysyłki kurierem, za każdym razem na skanie dowodu wpisując formułki mniej więcej właśnie jak w artykule. W następnych dniach z drżeniem czekałam na telefon z banku, że coś im nie pasuje, ale na szczęście nic takiego nie nastąpiło. Zresztą skoro nie ma przepisów bankowych, które wymagałyby przechowywania skanu dowodu, to z prawnego punktu widzenia to chyba nie powinno być problemem?

  13. co w sytuacji gdy jestem w Anglii, nie mam jak się stąd ruszyć przez dłuższy czas, jak wymienić dowód jakie koszta? jest to na pewno konieczne? pożyczki nie brałem ale dane podawałem parokrotnie żeby sprawdzać czy zdolność mi pozwoli na pożyczkę i telefony odbierałem również

    • Zależy, czy mieszkasz na stałe tam. Wyrób sobie paszport w konsulacie, choćby i tymczasowy, jeżeli nie masz. Paszport jest równorzędnym dokumentem tożsamości. Dowód wymieniasz za darmo, jak masz konto w jakimś polskim banku, możesz wniosek złożyć przez ePUAP. Odbierzesz go jednak tylko w Polsce.

    • Chyba powinieneś dostać maila takiego jak na początku artykułu jeśli jesteś ofiarą, ja już dzwoniłem na infolinię dopytać i moje dane są bezpieczne.

    • takiego email nie otrzymałem, paszport mam w Polsce a będę tutaj jeszcze conajmniej pół roku :(

  14. Kiedy ludzie zaczną korzystać z instytucji pozwów zbiorowych?

  15. Mam pytanie. Jeżeli kiedyś skożystałem z ich usług i mam konto w wonga ale pod koniec zeszłego roku mój dowód osobisty stracił ważność i wyrobiłem sobie nowy ale zapomniałem zaktualizować dane na koncie w wonga.
    Czy ci hakerzy są w stanie jakoś mi zagrozić mając w posiadaniu stary numer dowodu osobistego?

    • nie

  16. Proszę nie wprowadzać w błąd.
    Polskie prawo precyzyjnie wymienia sytuację, w których można wymienić dowód osobisty na nowy. Nie ma wśród nich “Wonga wściekła numer dowodu”.

    Swoją drogą, numer PESEL i numer dowodu to nie są tajne dane i to jest chore, że za ich pomocą ponoć można coś wyłudzić.

    • Ale zawsze możesz powiedzieć, że dowód zgubiłeś, nie wiesz kiedy i gdzie, po prostu nagle się zorientowałeś, że w portfelu go nie masz. I co Ci zrobią? Muszą wyrobić nowy. Za darmo!

  17. *sytuacje

  18. *wyciekła

    Coś nie w formie jestem.

  19. Załóżmy, że *muszę* wysłać X zdjęcie dowodu osobistego/paszportu. Nie ufam X. Jakie dane powinienem zamazać, a jakie mogę zostawić czytelne?

  20. Co jeżeli by do weryfikacji tożsamości wysyłać skan własnego dowodu z zmienioną w gimpie datą ważności, tak aby ta kończyła sie z końcem miesiąca? Może to popadać pod fałszowanie dokumentów ale w przypadku wycieku danych najprawdopodobniej skan będzie dotyczył nieważnego dowodu.

    • Obawiam się, że konsekwencje prawne (karne) za podawanie nieprawdziwych danych (fałszowanie dowodu osobistego) są dużo poważniejsze, niż ewentualne straty po wykorzystaniu Twojego dowodu przez hackera po (ewentualnym) wycieku takiego skanu.

  21. Dane wyciekły. Więc teraz co? Jakieś kroki zostały podjęte przez Wongę?

    • Zapewne jest im szalenie przykro.

  22. Pytanie po co taka firma i dowolna inna przechowuje numer dowodu ? do czego im to ma być potrzebne ? dowód identyfikuje Cię tu i teraz i tyle, jego numer nie ma znaczenia.
    Tak samo przechowywanie skanu – upoważniony pracownik ma ciebie zidentyfikować i to on ma potwierdzić że ty to ty a nie skan dowodu.

    • Pewnie stosują to jako dupochron.

    • A no na przykład po aby osoba która podwędzi Ci dowód a ty go zastrzeżesz nie mogła użyć go w danej instytucji, bo dowody tej samej osoby różnią się tylko i wyłącznie numerem(zdjęcia, podpisy niby są inne ale łudząco podobne więc uważam za nieistotne)

  23. W Alior nie przyjmują skanów z ingerencją.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: